C2i </'0 



ft 

@ RlzPUBLIQUE FRANQAISE 

INST1TUT NATIONAL 
DE LA PROPRIETE INDUSTRIELLE 

PARIS 



0 N° de publication : 2 747 208 

(a n'utiltser que pour les 
oommandes de reproduction) 

(q) N° d'enregistrement national : Qg 04404 

Int CI 6 : G 06 F 1/00 



DEMANDE DE BREVET D'INVENTION 



A1 



Date de depot : 09.04.96. 
Priorite : 



(43) Date de la mise a disposition du public de la 
w demande : 10.10.97 Bulletin 97/41. 

\5S) Llste des documents cites dans le rapport de 
recherche preliminaire : Se reporter a la fin du 
present fascicule. 

feo) References a d'autres documents nationaux 
apparentes : 



(?l) Demandeur(s) : CLEMOT OLIVIER — FR, CAMPANA 
^ MIREILLE — FR et ARDITTI DAVID— FR. 



72) Inventeur(s) : 



@Trtulalre(s): 



(74) Mandataire : SOC1ETE DE PROTECTION DES 
w INVENTIONS. 



< 

I 

00 

o 

CM 

CM 

DC 

UL 



54) PROCEDE DE DISSIMULATION D'UN CODE SECRET DANS UN DISPOSITIF D'AUTHENTIFICATION 
INFORMATIQUE. 

57) L'invention conceme un procede de dissimulation d'un 
□e secret dans un dispositrf d'authentification informati- 
que (10) consistant a crypter le code secret (s) par une 
fonction de cryptage (g) pour former une image de code 
secret (s) et a memoriser cette image de code secret dans 
le dispositrf d'authentification. II consiste, au prealable, a 
choisir une fonction de cryptage (g) qui est telle que, a cha- 
que image de code secret memorisee, il correspond une 
pluralite de codes antecedents (s1, .... sn) tous diffe rents 
du code secret, mais qui, une fois cryptes par la fonction de 
cryptage (g), ont une image (s) identique a celle du code 
secret. 

Elle conceme aussi un procede de verification du code 
secret d'un utilisateur munt d'un dispositif d'authentification 
dans lequel est memorisee I'image du code secret. 

Application au domaine de I'authentiftcation informatique. 
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PROCEDE DE DISSIMULATION D'UN CODE SECRET 
DANS UN DISPOSITIF D'AUTHENTIFICATION INFORMATIQUE 



DESCRIPTION 



Domaine technique 

L' invention concerne un procede pour dissimuler 
un code secret dans un dispositif d'authentification tel 
qu'une disquette informatique, une carte a memoire,..., 
pouvant etre lu a partir d'un lecteur adequat. 

Elle trouve des applications dans tous les 
systemes informatiques mettant en oeuvre une procedure 
d'authentification des utilisateurs voulant se connecter, 
depuis un terminal, sur le systeme central. 



Etat de la technique 

Dans les systemes informatiques actuels, la 
protection des donnees joue un role de plus en plus 
important. En effet, la qualite du systeme informatique 
depend de maniere decisive de la securite de l'echange de 
donnees a l'interieur du systeme. On cherche done de plus 
en plus a securiser l'acces au systeme, e'est-a-dire que 
l'on cherche a controler si les personnes utilisant le 
systeme sont autorisees a l'utiliser, les personnes non 
autorisees devant alors etre refusees par le systeme. 

Un mode de realisation simple, mais n' off rant 
pas une securite absolue, consiste a contrdler l'acces au 
systeme informatique par la verification du mot de passe 
connu uniquement de 1 'utilisateur autorise et souvent 
change afin de limiter la possibilite que des utilisateurs 
non autorises decouvrent ce mot de passe. Cependant, il y a 
de forts risques pour que les mots de passe soient 
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interceptes par des personnes non autorisees desireuses 
d'utiliser le syst&ne informatique. 

De plus, ce mot de passe est stocke dans la zone 
memoire du syst^me informatique (zone prot6g§e ou non) afin 
5 d'etre compare au mot de passe entre par 1 'utilisateur . II 
peut done £tre facilement retrouv£ en m6moire par un 
utilisateur frauduleux. 

Pour 6viter cette fraude, une technique consiste 
k crypter le mot de passe avant de le stocker en memoire. 

10 Ce cryptage se fait au moyen d'une fonction de cryptage qui 
est choisie, en general, de facon a ce qu f il soit 
impossible de retrouver le mot de passe £ partir de 1' image 
du mot de passe obtenue apres cryptage de ce mot de passe. 
Cette technique est utilisee, par exemple, dans les 

15 syst^mes UNIX®. 

Dans ce cas, 1' image du mot de passe est stockee 
en clair dans la memoire de sorte qu'il est possible & un 
utilisateur frauduleux de recuperer le fichier de toutes 
les images de mots de passe memorisees et ensuite 

20 d' impl6menter la fonction de cryptage sur un autre syst^me 
informatique et d'essayer des listes de mots de passe 
jusqu'A retrouver ceux qui correspondent aux images du 
fichier. Une telle analyse du code du systeme (fonction, 
fichier des images de mot de passe...) est appelee "attaque 

25 par dictionnaire" . 

Par ailleurs, il existe un procede permettant de 
dissimuler un code secret en stockant, sur des moyens de 
stockage tels qu'une disquette, une carte a memoire, etc., 
1' image du code secret par une fonction de cryptage 

30 reversible, param§tr£e par le mot de passe de 
l f utilisateur. Ce precede est mis en oeuvre "localement", 
e'est-a-dire qu'il est execute par le terminal, en liaison 
avec les moyens de stockage et qu'il ne necessite aucune 
connexion vers le systeme central. 
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Ce proc6d6 est d6crit en detail dans la demande 
de brevet FR-A-2 690 257. 

Comrae explique dans cette demande de brevet, ce 
procedfe permet aussi de changer le mot de passe de 
1 • utilisateur localement , c ' est-a-dire sans qu 9 aucune 
connexion au syst&ne central ne soit necessaire. Par 
contre, une connexion au systeme est obligatoire pour 
verifier la validity de ce changement de mot de passe. 

L' authentication de 1' utilisateur se fait done 
localement : le code secret n'est jamais transmis, sur une 
ligne de transmission, vers le systeme central. L 1 unique 
transmission du code secret au cours du proc<§d§, se fait 
entre le lecteur des moyens de stockage et le terminal, ce 
qui limite les risques d' interception par un fraudeur. La 
connexion sur le systeme central se fait ensuite, 
c 'est-a-dire apr£s verification locale du code secret. 

Cependant, un tel procede necessite une 
protection physique des moyens de stockage (disquette) pour 
eviter la fraude directement sur ces moyens de stockage. 
Ceci implique done 1 'utilisation de materiels et de 
technologies specifiques, entrainant un cout relativement 
important . 

Expose de 1 1 invention 

L 1 invention a pour but de remedier aux 
inconvenients des procedes decrits precedemment . A cette 
fin, elle propose un procede pour dissimuler un code secret 
dans un dispositif d'authentif ication tel qu'une disquette 
ou une carte <k memoire. Ce procede permet de verifier 
localement le code secret entr6 par 1 'utilisateur, tout en 
limitant les risques d'attaques par dictionnaire . 

De facon plus precise, 1' invention concerne un 
procede de dissimulation d'un code secret dans un 
dispositif d'authentification informatique consistant £ 
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crypter le code secret par une fonction de cryptage pour 
former une image de code secret et a memoriser cette image 
de code secret dans le dispositif d'authentif ication. Ce 
procede se caract£rise par le fait qu'il consiste, au 
5 pr£alable, d choisir une fonction de cryptage qui est telle 
que, £ chaque image de code secret, il correspond une 
pluralite de codes antecedents tous differents du code 
secret, mais qui, une fois cryptes par la fonction de 
cryptage, ont une image identique a celle du code secret. 
10 Avantageusement, le code secret ayant . n 

caracteres, la fonction de cryptage consiste & associer a 
ces n caracteres une image de code secret de k caracteres, 
avec k < n. 

Selon un mode de realisation prefere de 
15 1' invention, le nombre k des caracteres de 1' image du code 

secret est 6gal 4 — . 

2 

L f invention concerne aussi un procede de 
verification du code secret d'un utilisateur voulant 
acceder a un systeme central a partir d'un terminal. Cet 

20 utilisateur etant muni d'un dispositif d f authentif ication 
dans lequel est dissimuiee l f image du code secret par la 
fonction de cryptage, ce procede se caracterise par le fait 
qu'il comprend une etape de verification locale du code 
secret entre par 1 'utilisateur et crypte par la fonction de 

25 cryptage, par comparaison avec 1' image du code secret 
memoris6e dans le dispositif d' authentif ication ; puis, si 
cela est v6rifi6/ il comporte une etape d'authentif ication 
par le systeme central. 

30 Br6ve description des figures 

- La figure 1 represente schematiquement la 
repartition des images du code secret dans la memoire ainsi 
que des antecedents possibles de cette image ; 
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- les figures 2A, 2B, 3A et 3B representent des 
exemples de fonctions de cryptage appliquees a un certain 
nombre de caracteres numeriques ; et . ..„ el 

- la figure 4 represente le schema fonctionnel 

du precede de verification du code secret. 

DescriEtion detaill je^moj es de realisatio n 
Ha 1' invention 

L' invention concerne un precede pour dissimuler 
' un code secret dene un dispositif d'.uthentif let ion tel 
Z-Z diskette infor-tioue ou un. cert, —ox., ou 
encore one calculett. ^ ^ ^ ^ secreC 

„„e fonction de crypt. g e de facon a former un, 

code secret qui est ensuite ...orisSe dans le dxsposrtrf 

d 1 authentication. fa _ nn a 

La fonction de cryptage g est choisie de facon 
aue 1' image du code secret soit suffisamment precise 
; ur q gu^r aute de frappe, tap.e par 1'utilisateur 
pour ^ . prreti puisse etre 

entre son code secret/ ^ 

Tais le, pourtant. cha^e i»a<,e du code secret poss.de de 

^rr-rrotioir, irsss-u. - 

MS a i» authentication distante. 

P En d'autres termes, la fonction de cryptage g 

w • • - Hf» facon a ce que le code secret ait une image 
-etTcorre/ponde a une .uititude de codes 
Indents (appeles si.ple.ent -ant^dents" dans u 
■ „ *.„!-.) Ces codes antecedents sont une sorte de 
Zl'cls Z ets U «*. P« - -notion de crypt.,. 
I doLnt tons is * — ««" «» 16 



2747208 



6 

veritable code secret de 1 'utilisateur, mais qui seront 
refuses lors de la procedure d' authentication. 

Ainsi, un utilisateur frauduleux qui serait en 
possession du dispositif d' authentif ication, par exemple de 
la disquette, et qui aurait ainsi decouvert le fichier des 
images de codes secrets et qui, par ailleurs, serait en 
possession de la fonction de cryptage g, ne pourrait pas 
determiner pr6cis6ment quel est le code secret de 
1 'utilisateur . En effet, une attaque par dictionnaire lui 
fournirait de nombreuses solutions a la verification 
locale, mais une tr6s faible chance de trouver la veritable 
solution, c'est-a-dire le veritable code secret, 
Ef fectivement, si 1 'utilisateur frauduleux essaie l'un des 
codes antecedents fourni par 1* attaque par dictionnaire, 
celui-ci est vSrifie localement ; par contre, il sera 
refuse lors de 1 'authentif ication a distance, c'est-a-dire 
de 1 1 authentif ication par le systeme central. 

On a represents sur la figure 1, de fagon tr6s 
schematique, la repartition des images de codes secrets 
dans la memoire, ainsi que la repartition des codes 
antecedents de ces images de codes secrets. 

De fagon plus precise, on a appele "El" 
1' ensemble de tous les codes qui pourraient etre un code 
secret choisi par 1 ' utilisateur et " E 2 " 1' ensemble de 
toutes les images de ces codes secrets qui pourraient etre 
choisis par 1 'utilisateur . L 1 ensemble El comporte done tous 
les eventuels codes secrets, dont, en particulier, un code 
x et une multitude de codes si & sn. 

Si "g" est la fonction de cryptage choisie, 
alors l 1 image du code x par la fonction de cryptage g donne 
1' image X qui se situe dans 1' ensemble E2 des images de 
codes secrets possibles. D' autre part, 1 1 image par la 
fonction de cryptage g de chacun des codes si & sn donne 
1' image de code secret S contenue dans 1' ensemble E2. 
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Ce sont done tous ces codes antecedents si, s2, 
s3,..., sn qui, codes par la fonction de cryptage g, 
donnent une image S qui correspond aussi a 1' image du 
veritable code secret. On comprend done que l'un de ces 
codes si a sn est le veritable code secret choisi par 
l'utilisateur. Ainsi, bien que tous ces codes antecedents 
si a sn aient pour image S, l'un seulement de ces codes 
antecedents est le veritable code secret qui verifiera 
1" authentication par le systeme central. 

Ainsi, un utilisateur frauduleux qui serait en 
possession a la fois de la fonction de cryptage g et de 
1' image de code secret S, ne saura lequel des codes 
antecedents si a sn choisir. Aussi, s'il essaie localement, 
e'est-a-dire au niveau du terminal informatique, l'un de 
ces codes antecedents si a sn, la verification par le 
terminal lui donnera une reponse positive, e'est-a-dire 
qu'une procedure d'authentif ication peut etre mise en 
oeuvre. Cependant, cette procedure d'authentif ication 
n'aboutira pas et la connexion au systeme central sera 
refusee. 

Par contre, la fonction de cryptage est choisie 
de facon a ce qu'elle fournisse des images de codes secrets 
suffisamment precises pour qu'une faute de frappe de la 
part de l'utilisateur puisse etre detectee localement, 
e'est-a-dire sans necessiter de connexion avec le systeme 
central. 

Selon un mode de realisation del' invention, la 
fonction de cryptage g est une fonction qui associe a n 
caracteres constituant le code secret, une image de code 
secret de taille reduite, e'est-a-dire de k caracteres, 
avec k < n. Par exemple, pour un code secret ayant n 
caracteres, la fonction de cryptage g associe une image de 
k = n/2 caracteres. Dans le mode de realisation prefere de 
1» invention, la fonction g associe a un code secret de huit 
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caracteres (ce qui correspond £ une taille d f environ 
2 40 bits), une image de code secret de quatre caracteres 
(taille d'environ 2 20 bits). 

Pour une fonction de cryptage g de ce type, 
l'utilisateur qui tape le veritable code secret avec une 
faute de frappe aura un risque sur environ un million de 
cas (1 sur 2 20 ) que sa faute de frappe ne soit pas d6tect£e 
lors de l 1 operation de verification locale ; par contre, un 
utilisateur frauduleux qui tente une attaque par 
dictionnaire se verra confronts k environ un million de 
solutions (2 20 ) , parmi lesquelles une seule est la bonne, 
c'est-a-dire qu'une seule correspond au veritable code 
secret. 

On comprendra, bien sQr, que plusieurs fonctions 
peuvent etre utilisees, pour verifier les conditions 
6nonc6es pr6c§demment . Meme des fonctions tr£s simples 
peuvent etre utilises. Par exemple, si l'on prend en 
compte les chiffres entre 0 et 9 et les lettres de 
1' alphabet que l'on repr§sente par des valeurs comprises 
entre 10 et 35, on peut choisir une fonction gl qui 
associe, £ chaque couple de caracteres (lettres ou 
chiffres) du code secret de 1 'utilisateur, une valeur 
determinee entre 0 et 35, de telle sorte que pour un 
caract£re donn6 du bigramme (c'est-a-dire du couple de 
caracteres), 1' image soit diff6rente lorsque le deuxieme 
caractere varie. On peut, par exemple, choisir la somme des 
deux valeurs du bigramme. 

La figure 2A represente schematiquement le 
traitement effectue par la fonction gl sur un code secret 
comprenant n caracteres. 

On a done represente sur cette figure 2A, les 
n/2 couples de caracteres (cl, c2) (c3, c4)... (cl, cn) et 
chacune des images Ici,..., Ic n / 2 de ces bigrammes. D'apres 
la definition de la fonction gl, decrite precedemment, 
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chaque image Ic n /2 correspond a la somme des caracteres Cx 
et C n du bigramme correspondant, sachant que si la somme de 
ces caracteres donne une valeur sup6rieure ou egale & 10, 
on choisit pour Ic n /2 la valeur de plus faible poids, £ 
savoir le chiffre de 1' unite. 

La figure 2B represente un exemple numerique du 
cryptage realise au moyen de la fonction gl. Dans cet 
exemple, on considere un code secret de huit caracteres 
numeriques notes cl, c2,..., c8 regroupes en quatre 
bigrammes dont les valeurs sont comprises entre 0 et 9 
sont : 

(cl, c2) = (6,1) 
(c3, c4) - (5,7) 
(c5, c6) = (4,3) 
(c7, c8) = (9,2) 

La fonction gl associe done a chaque bigramme, 
la somme des deux caracteres le constituant. Ainsi : 
I(cl, c2) = 7 
I(c3, c4) - 2 
I(c5, c6) = 7 
E(c7, c8) - 1 

On comprend done, £ partir de cet exemple, que 
1' image du code secret "61574392" est "7271". Une telle 
image 7271 peut avoir une multitude d' antecedents, puisque 
chaque caractere de cette image du code secret peut etre le 
r6sultat de la somme (ou bien 1' unite d'un chiffre 
correspondant k la somme) d'une multitude de nombres 
compris entre 0 et 35. 

On comprend bien, de plus, que si 1 'utilisateur 
tapait le veritable code secret avec une erreur de frappe, 
par exemple 7 i la place de 6 pour le caractere cl, cette 
erreur serait tout de suite detectee localement puisque la 
somme de 7 et de 1 ne peut, bien evidemment, donner le 
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chiffre 7 qui correspond & 1' image Icl du premier couple de 
caracteres (cl, c2) . 

Sur la figure 3A, on a represents un exemple 
5 d'une autre fonction de cryptage : la fonction g2 qui 
consiste a associer a 1' ensemble des huit caracteres cl & 
C8 composant le code secret, quatre combinaisons lin&aires 
independantes, modulo 36, de ces huit caracteres, chaque 
combinaison lineaire pouvant etre differente. 
10 Par exemple, le premier caractere Icl de 1' image 

du code secret associe les caracteres cl, c3, c4 et c7 du 
code secret ; le second caractere Ic2 de cette image du 
code secret associe les caracteres c2, c5, c6 et c8 ; le 
troisieme caractere de 1' image du code secret Ic3 associe 
15 les caracteres cl, c2, c5 et c7, et le quatrieme caractere 
Ic4 de l f image du code secret associe les caracteres c3, 
c4, c5 et c7 du code secret initial. 

Sur la figure 3B, on a represents le meme 
20 exemple que celui de la figure 3A, mais dans lequel on a 
attribue a chaque caractere une valeur numerique qui est la 
meme que celle donnee dans 1' exemple de la figure 2B. 
Ainsi : 

cl = 6 

25 c2 = 1 

c3 = 5 
c4 = 7 
c5 = 4 
c6 = 3 

30 c7 - 9 

c8 = 2 

Apr£s cryptage, par la fonction g2, d'un code 
secret de huit caracteres cl a c8, ou cl,..., c8 ont les 
valeurs ci-dessus, on obtiendra une image de code secret 
35 7007, avec Icl = 7, Ic2 = 0, Ic3 =0, Ic4 = 7. 
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Ainsi, le procede de dissimulation du code 
secret sur le dispositif d' authentification presente done 
I'avantage, non seulement de detecter une eventuelle faute 
de frappe de la part de 1' utilisateur lorsque celui-ci 

5 entre son code secret sur le terminal/ mais surtout 
d'6viter une attaque par dictionnaire de la part d'un 
utilisateur frauduleux, puisque 1' image du code secret 
m6moris6e sur la disquette a un tel nombre de codes 
antecedents possibles qu'un utilisateur frauduleux a tr£s 

10 peu de chance de trouver le veritable code secret. 

Le procede decrit ci-dessus pour dissimuler un 
code secret dans une disquette informatique, une carte k 
memoire, ou tout autre dispositif d' authentification/ peut 

15 etre utilise dans un procede de verification du code secret 
entre par un utilisateur desirant acc6der £ un systeme 
central/ & partir d'un terminal connecte a un lecteur apte 
£ lire son dispositif d' authentification. 

Pour une meilleure comprehension de 1' invention, 

20 le procede de verification du code secret va etre decrit 
dans le cas ou le dispositif d' authentification est une 
disquette informatique . 

Ce procede de verification consiste, apres que 
la disquette ait ete introduite dans le lecteur de 

25 disquettes associe au terminal/ a ce que l'utilisateur 
entre son code secret sur le terminal a partir duquel il 
desire se connecter au systeme central. Le terminal verifie 
alors si 1' image, par la fonction de cryptage q, du code 
secret s que vient de taper l'utilisateur correspond & 

30 1* image S memorisee sur la disquette. Si cela n'est pas le 
cas, alors le terminal refuse toute connexion vers le 
systeme central. Au contraire, si cela est verifie, alors 
une 6tape de determination de la cie secrete non chiffree K 
est commencee/ au terme de laquelle le terminal se 

35 connectera au systeme central. Cette cie secrete non 
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chiffr6e K est cteterminee a partir de 1' inverse f" 1 de la 
fonction de chiffrage f de la cle par le mot de passe (f 
6tant une fonction reversible) , et a partir de la cie 
chiffr6e stockee sur la disquette, tel que cela est 
5 explique dans la demande de brevet FR-A-2 690 257, d6j£ 
citee pr6cedemment . 

La procedure d' authentif ication qui est mise en 
oeuvre d£s que le terminal informatique se connecte sur le 
systeme central, ne sera done pas decrite ici puisqu'elle 
10 est identique & celle decrite dans le document FR-A-2 690 
257. 

Un diagramme fonctionnel de ce procede de 
verification du code secret est represents sur la figure 4. 

La disquette informatique, referenc£e 10, est 

15 introduite dans le terminal informatique 14 lors d'une 
etape el. L'utilisateur, reference 12, entre ensuite son 
code secret (s) sur le terminal 14 lors d'une etape e2 . Une 
etape e3 est alors effectuee qui consiste a crypter par la 
fonction g, le code secret s que 1 1 utilisateur vient 

20 d'entrer puis £ verifier si 1 ' image du code secret par la 
fonction g correspond bien a 1' image de code secret s 
m£moris6e sur la disquette 10. Si ce n'est pas le cas, 
alors le procede de verification est abandonne (etape e'4) 
et done aucune procedure d' authentif ication par le systeme 

25 central n'est envisagee. Au contraire, si cette 
verification s'avere exacte, une etape e4 est effectuee. 
Cette etape e4 consiste a determiner la cie secrete non 
chiffr6e K et 4 l'envoyer au systeme central 16 qui 
commence alors la procedure d' authentif ication {etape e5), 

30 au moyen d'un echange d' informations avec le terminal 14. 

Ainsi, le procede de verification du code secret 
assure une limitation du nombre de connexions au systeme 
central, puisque seuls les codes secrets acceptes lors de 
la verification locale du code secret font l'objet d'une 

35 procedure d' authentif ication. 
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De plus, 1' image du code secret etant memoris§e 
sur le dispositif d 1 authentication, et non dans une 
m6moire accessible k tous un utilisateur frauduleux 
d6sirant connaitre cette image de code secret doit tout 
d f abord s'emparer de ce dispositif d'authentification, ce 
qui participe k la limitation des fraudes. 
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RE VEND I CAT I ONS 

1. Procede de dissimulation d'un code secret 
dans un dispositif d' authentif ication informatique (10) 
5 consistant & crypter le code secret (s) par une fonction de 
cryptage (g) pour former une image de code secret (s) et a 
m6moriser cette image de code secret dans le dispositif 
d* authentif ication, caracterise en ce qu'il consiste, au 
prealable, k choisir une fonction de cryptage (g) qui est 

10 telle que, k chaque image de code secret memorisee, il 
correspond une pluralite de codes antecedents (si,..., sn) 
tous diff6rents du code secret, mais qui, une fois cryptes 
par la fonction de cryptage (g) , ont une image (s) 
identique £ celle du code secret. 

15 2. Procede de dissimulation d'un code secret 

selon la revendication 1, caracterise en ce que le code 
secret ayant n caracteres (cl, — , cn) , la fonction de 
cryptage (g) consiste k associer £ ces n caracteres 
(cl,..., cn) une image de code secret de k caracteres, avec 

20 k < n. 

3. Procede de dissimulation d'un code secret 

selon la revendication 2, caracterise en ce que le nombre k 

n 

des caracteres de 1' image du code secret est egal a — . 

4. Procede de verification du code secret d'un 
25 utilisateur voulant acc£der k un systeme central a partir 

d'un terminal, caracterise en ce que, cet utilisateur (12) 
etant muni d*un dispositif d' authentif ication (10) dans 
lequel est memorisee l 1 image (s) du code secret par la 
fonction de cryptage (g) conformement a l'une quelconque 

30 des revendications 1 a 3, il comprend une etape (e3) de 
verification locale du code secret entre par 1 'utilisateur 
et crypte par la fonction de cryptage, par comparaison avec 
1' image du code secret memorisee dans le dispositif 
d'authentification, puis si cela est verifie, une etape 

35 (e5) d' authentif ication par le systdme central (16). 
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PROCESS FOR THE CONCEALMENT OF A SECRET CODE 
IN A COMPUTER AUTHENTICATION DEVICE 



SPECIFICATION 

Technical field 

The invention concerns a process for the concealment of a 
secret code in an authentication device, such as a computer 
diskette, a memory card, . . . which can be read with an adequate 
reader . 

It finds application in all computer systems implementing a 
procedure for the authentication of users desiring to be 
connected to the central system from a terminal. 
State of the art 

In currenc computer systems, the protection of data is 
playing an ever more important role. In fact, the quality of the 
computer system depends in a crucial way upon the security of 
data exchange within the system. An ever greater effort is thus 
being made to secure access to the system, that is to say, the 
effort is made to check whether those persons utilizing the 
system are authorized to use it, unauthorized persons then being 
rejected by the system. 

One simple execution mode, which does not however offer 
absolute security, consists of controlling access to the computer 
system by the verification of the password, known only to the 
authorized user and frequently changed in order to reduce the 
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possibility that unauthorized users will discover the password. 
Nevertheless, there is high risk that passwords will be 
intercepted by unauthorized persons desiring to use the computer 
system. 

Moreover, the password is stored in the memory zone of the 
computer system (protected or unprotected zone) in order to be 
compared with that password entered by the user. It can then be 
easily retrieved from memory by a fraudulent user. 

To avoid this deception, one technique consists of 
encrypting the password before it is stored in memory. This 
encryption is accomplished by an encryption function which is 
selected, in general, in such a way that it will be impossible to 
retrieve the password from the password image obtained after 
encryption of that password. This technique is utilized, for 
example, in the UNIX* system., 

In that case, the password is stored in memory in clear text, 
so that it is possible for unauthorized users to retrieve the 
file containing all the password images in memory and then to 
implement the encryption function on a different computer system, 
testing the password lists until those corresponding to the 
images in the file are found. Such an analysis of the system 
code (function, password- image file...) is called an "attack by 
dictionary" . 

On the other hand, there does exist a procedure permitting 
the concealment of a secret code by storing the image of the 
secret code, on a storage means such as a diskette, a memory 



card, etc., by means of a reversible encryption function 
parameterized by the user password. This procedure is 
implemented "locally", that is to say, it is executed by the 
terminal in conjunction with the storage means and requires no 
connection with the central system. 

This procedure is described in detail in patent 
application FR-A 2,690,257. 

As explained in that patent application, this procedure also 
permits changing the user password locally, that is to say, with 
no connection to the central system being necessary. However, a 
connection to the central system is required in order to confirm 
the validity of the password change. 

The authentication of the user is thus done locally. The 
secret code is never transmitted to the central terminal over the 
transmission line. The only transmission of the secret code 
during the course of the procedure is carried out between the 
reader of the storage means and the terminal, which limits the 
risks of interception by a defrauder. The connection to the 
central system is then made, that is to say, after local 
verification of the secret code. 

Nevertheless, such a procedure requires physical protection 
of the storage mans (diskette) in order to prevent fraud directly 
upon the storage means. This implies the utilization of specific 
materials and technologies, involving relatively high cost. 



Descripti on of the invention 

The purpose of the invention is to remedy the inconveniences 
of those procedures described above. For this purpose, it 
proposes a method for the concealment of a secret code in an 
authentication device, such as a diskette or a memory card. This 
procedure permits local verification of the secret code entered 
by the user, while reducing the risk of attacks by dictionary. 

More specifically, the invention concerns a process for the 
concealment of a secret code in an computer authentication device 
consisting of the encryption of the secret code by an encryption 
function in order to form a secret-code image and to store this /4. 
secret-code image in the authentication device. This procedure 
is characterized by the fact that it consists, first of all, of 
the selection of an encryption function which is such that, for 
each image of the secret code, it will correspond to a plurality 
of antecedents, all different, of the secret code, but which, 
once encrypted by the encryption function, will have an image 
identical to that of the secret code. 

Advantageously, when the secret code has n characters, the 
encryption function will consist of the association of these n 
characters with an image of the secret code image k having 
characters, with k < n. 

According to a preferred execution variant of the invention, 
the number k of characters of the image of the secret code is 
equal to n/2. 



5 



The invention also concerns a method for verification of the 
secret code of a user desiring to access the central system from 
a terminal. This user being equipped with an authentication 
device in which the image of the secret code is concealed by an 
encryption function, this procedure is characterized by the fact 
that it comprises a step for local verification of the secret 
code, entered by the user and encrypted by the encryption 
function, by comparison with that image of the secret code stored 
in the authentication device. Then, if that is verified, it 
comprises a step for verification by the central system. 
Brief description of the drawings 

- Figure 1 represents, schematically, the distribution of 
the images of the secret code in memory as well as the possible 
antecedents of this image; 

- Figures 2A, 2B, 3 A and 3B show examples of encryption 
functions applied to a certain number of numeric characters; and 

- Figure 4 represents the operational procedure for 
verification of the secret code. 

Detailed description of execution variants of the invention 

The invention concerns a process for the concealment of a 
secret code in an authentication device, such as a computer 
diskette, a memory card or even a pocket calculator. 

This process consists of encrypting the secret code, by 
means of an encryption function g, in order to form an image of 
the secret code which is then stored in the memory of the 
authentication device. 
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The encryption function g is selected in such a way that the 
image of the secret code will be sufficiently precise for a 
typing error by the user when entering his secret code to be 
detected with completely satisfactory probability, even though 
each image of the secret code will possess numerous antecedents 
via the encryption function, so that an attack by dictionary will 
provide numerous false solutions to the local verification 
function, but not to remote authentication. 

In other words, the encryption function g is selected in 
such a way that the secret code will have a secret-code image 
which corresponds to a multitude of antecedent codes (referred to 
merely as "antecedents" in the remainder of the text) . These 
antecedent codes are a sort of false secret codes which, encoded 
by the encryption function g, all yield the same image of the 
secret code as the true secret code of the user, but which will be 
rejected by the authentication procedure. 

Thus, a fraudulent user who may happen to be in possession 
of an authentication device, for example, a diskette, and who 
would thus have discovered the file of images of secret codes and 
who, by other means, would also be in possession of the 
encryption function g, would not be able to determine precisely 
which is the secret code of the user. In fact, an attack by 
dictionary would provide him with numerous solutions for the 
local verification procedure, but a very low chance of finding 
the true solution, that is to say, the true secret code. 
Effectively, if the fraudulent user tries one of the antecedent 



codes provided by the dictionary attack, it will be verified 
locally, but will on the other hand be refused by the remote 
authentication procedure, that is to say, the authentication by 
the central system. 

Represented in Fig. 1, in a highly schematic fashion, is the 
distribution of the images of secret codes in. memory, as well as 
the distribution of the antecedent codes of these secret-code 
images . 

More precisely, the aggregate of all those codes which could 
be a secret code chosen by the user are labeled n El u and, with 
"E2" , all the images of these secret codes which could be chosen 
by the user. Group El thus contains all the possible secret 
codes, including, in particular, a code x and a multitude of 
codes si through sn. 

If "g" is the encryption function selected, then the image 
of the code x, produced by the encryption function g, will be the 
image X situated within the group E2 of images of the possible 
secret codes. On the other hand, the image of each of the codes 
si though sn, produced by the encryption function g, will yield 
the secret-code image S contained in group E2. 

These are thus all antecedent codes si, s2, s3,..., sn 
which, encoded by the encryption function g, yield an image S 
which also corresponds to the image of the true secret code. It 
is therefore evident that one of these codes si through sn is the 
true secret code selected by the user. Thus, although all these 
antecedent codes si through sn have an image S, one only of these 
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antecedent codes is the true secret code which will verify the 
authentication by the central system. 

Thus, a fraudulent user in simultaneous possession of both 
the encryption function g and of the image of the secret code S 
will not know which of the antecedent codes si through sn to 
select. Also, if he tries one of the antecedent codes si through 
sn locally, that is to say, at the level of the computer 
terminal, the verification by the terminal will give him a 
positive response, that is to say, an authentication process can 
be implemented. Nevertheless, this authentication procedure will 
not succeed, and connection to the central system will be 
refused. 

On the other hand, the encryption function is chosen in such 
a way that it will provide images of secret codes sufficiently 
precise to permit a typing error on the part of the user to be 
detected locally, that is to say, without requiring connection to 
the central system. 

According to one execution mode of the invention, the 
encryption function g is a function which associates a secret- 
code image of reduced size with n characters constituting the 
secret code, that is to say, k characters, with k < n. For 
example, for a secret code having n characters, the encryption 
function g will associated an image of k = n/2 characters. In 
the preferred execution variant of the invention, the function g 
will assign a secret-code image of four characters (the size 
being approximately 2 20 bits) to a secret code of eight 



characters (which corresponds to a size of approximately 2 
bits) . 

For an encryption function g of this type, the user who 
enters the true secret code with a typing error will have a risk 
of approximately one million cases (1 in 2 20 ) that his typing 
error will not be detected during the verification operation. On 
the other hand, a fraudulent user attempting a dictionary attack 
will be confronted with approximately one million solutions 
(2 20 ) , among which only one is correct, that is to say, only one 
will correspond to the true secret code. 

It will be evident, of course, that several functions can be 
utilized to verify those conditions stated above. Even very 
simple functions can be utilized. For example, if those numbers 
between 0 and 9 and the letters of the alphabet which represent 
those values between 10 and 35 are taken into account, it will be 
possible to select a function gl which assigns a value determined 
between 0 and 35 to each pair of characters (letters or numbers) 
of the user's secret code, so that the image for a given 
character of the bigram (that is to say, of the character pair) 
will be different, when the second character varies. For 
example, the sum of two characters of the bigram can be selected. 

Figure 2A shows, schematically, the treatment carried out by 
the function gl on a secret code containing n characters. 

Thus seen in Fig. 2A are n/2 pairs of characters (cl, c2) , 
(c3, c4) . . . (cl, cn) and each of the images Ic lf ...Ic n/2 of these 
bigrams. According to the definition of the function gl, 
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described above, each image Ic n/2 will correspond to the sum of 
the characters C 1 and c n of the corresponding bigram, knowing 
that, if the sum of the characters yields a value above or equal 
to 1, the value chosen for Ic n/2 will be the value of lowest 
weight, that is to say, the number of units. 

Figure 2B shows a numeric example of the encryption produced 
by means of the function gl. Considered in this example is a 
secret code with eight numeric characters designated cl, c2,..., 
c8, regrouped into four bigrams whose values are comprised 
between 0 and 9 : 

(cl, c2) = (6, 1) 

(c3, c4) = (5, 7) 

(c5, c6) = (4, 3) 

(c7, c8) = (9, 2) 
The function gl associates with each bigram the sum of the 
two characters constituting it. Thus: 

S (cl, c2) = 7 

E (c3, c4) = 2 

E (c5, c5) =7 

S (c7, cS) = 1 

It is thus evident from this example that the image of the 
secret code "61574392" is "7271". Such an image 7271 can have a 
multitude of antecedents, since each character of the image of 
this secret code can result from the sum (or of the course the 
number of units of a number corresponding to the sum) of a 
multitude of numbers ranging from 0 to 35. 
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Moreover, it can be seen that, if the user enters the true 
secret code with a typing error, for example, 7 instead of 6 for 
the character cl, this error will be immediately detected 
locally, since the sum of 7 and 1 cannot of course yield the 
number 7 which corresponds to the image Id of the first pair of 
characters (cl, c2) . 

Presented in Fig. 3A is an example of a different encryption 
function, the function g2 which consists of associating the group 
of eight characters cl through c8, which comprise the secret 
code, with four independent linear combinations, modulo 36, of 
these eight characters, where each linear combination can be 
different. 

For example, the first character Jcl of the secret-code 
image associates the characters cl, c3, c4 and c7 of the secret 
code; the second character Ic2 of this image of the secret code 
associates the characters c2, c5, c6 and c8; the third character 
of the image of the secret code Ic3 associates the characters cl, 
c2, c5 and c7, and the fourth character Ic4 of the image of the 
secret code associates the characters c3 , c4, c5 and c7 of the 
initial secret code. 

The example seen in Fig. 3B is the same as that in Fig. 3A, 
except that a value has been assigned to each character, which is 
the same as that given in the example in Fig . 2B . Thus : 

cl = 6 

c2 = 1 

c3 = 5 
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c4 = 7 
c5 = 4 
cS = 3 
c7 = 9 
c8 = 2 

After encryption, using the function g2, of a secret code 
with eight characters cl to c8, where cl, . . . , c8 have the values 
above, a secret-code image 7007 will be obtained, with Icl = 7, 
Ic2 = 0, Ic3 = 0, Ic4 = 7. 

Thus, the procedure for the concealment of the secret code /H 
in the authentication device presents the advantage not only of 
detecting a possible typing error on the part of the user, when 
the latter is entering the secret code at the terminal, but above 
all of preventing an attack by dictionary from a fraudulent user, 
because the image of the secret code stored on the diskette will 
have such a large number of possible antecedent codes that a 
fraudulent user will have very little chance of finding the true 
secret code. 

The procedure described above for the concealment of a 
secret code on a computer diskette, a memory card or any other 
authentication device, can be utilized in a process for 
verification of the secret code entered by a user desiring access 
to a central system from a terminal connected to a reader capable 
of reading its authentication device. 

For better understanding of the invention, the procedure for 
verification of the secret code will be described in that case 

13 



where the authentication device is a computer diskette. 

This verification process consists, after the diskette has 
been inserted in the diskette reader associated with the 
terminal, of the entry by the user of his secret code into that 
terminal from which he wishes to connect to the central system. 
The terminal then verifies whether the image, produced by the 
encryption function g, of the secret code s just typed by the 
user corresponds to the image S stored on the diskette. If that 
is not the case, the terminal will then refuse any connection to 
the central system. On the other hand, if it is verified, a step 
for determination of the unencrypted secret key K is begun, at 
the end of which the terminal is connected to the central system. 
This unencrypted secret key K is determined by the password from 
the inverse f 1 of the encryption function f of the key (f being 
a reversible function) , and from the encrypted key stored on the 
diskette, as explained in patent application FR-A 2,590,257, 
already cited above. 

The authentication procedure which is implemented as soon as 
the computer terminal is connected to the central system will not 
be described here, since it is identical to that described in FR- 
A 2,690,257. 

A functional diagram of this procedure for verification of 
the secret code is shown in Fig. 4. 

The computer disk, labeled 10, is inserted in the computer 
terminal 14 during a step el. The user, labeled 12, then enters 
his secret code (s) in the terminal 14 during step e2 . A step e3 
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is then carried out, which consists of the encryption, by the 
function g, of the secret code s which the user has just entered 
and then verification of whether the image of the secret code 
produced by the function g indeed corresponds to the secret-code 
image s stored on the diskette 10. If that is not the case, the 
verification process is then abandoned (step e4), and no 
verification procedure is executed by the central system. 
However, if this verification is found to be exact, a step e4 
will be carried out. This step e4 consists of determining the 
unencrypted secret key K and of transmitting it to the central 
system 16 which will then begin the authentication procedure 
(step e5) by means of an exchange of data with the terminal 14. 

Thus, the procedure for verification of the secret code 
assures a limitation of the number of connections to the central 
system, because only those secret codes accepted during the local 
verification of the secret code become the object of an 
authentication procedure. 

Furthermore, the image of the secret code being stored on 
the authentication device, and not in a memory accessible to any 
fraudulent user desiring knowledge of this secret-code image, is 
first taken up by this authentication device, which contributes 
to the limitation of frauds. 
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CLAIMS /14 

1. Process for the concealment of a secret code on a 
computer authentication device (10), consisting of the encryption 
of the secret code (s) by an encryption function (g) in order to 
form an image of the secret code (s) and store this secret-code 
image on the authentication device, characterized by the fact 
that it consists, first of all, of the selection of an encryption 
function (g) which is such that, for each stored image of the 
secret code, it will correspond to a plurality of antecedent 
codes (si, sn) , all different, of the secret code, but 
which, once encrypted by the encryption function (g), will have 
an image (s) identical to that of the secret code. 

2. Process for the concealment of a secret code according 
to Claim 1, characterized by the fact that the secret code has n 
characters (cl, cn) , the encryption function (g) , and that 
the encryption function (g) consists of the association of a 
secret-image code with k characters with these n characters (cl, 
, . . , cn) , with k < n. 

3 . Process for the concealment of a secret code according 
to Claim 2, characterized by the fact that the number k of the 
characters in the image of the secret code is equal to n/2. 

4. Procedure for the verification of the secret code of a 
user desiring to access a central system from a terminal, 
characterized by the fact that, this user (12) being equipped 
with an authentication device (10) in which the image (s) of the 
secret code is stored by an encryption function (g) according to 
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any of Claims 1 through 3, it comprises a step (e3) for local 
verification of the secret code, entered by the user and 
encrypted by the encryption function, by comparison with that 
image of the secret code stored in the authentication device, and 
then, if that is verified, a step (e5) for authentication by the 
central system (16). 
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